查看原文
其他

风生水起藏隐忧:电商行业的安全挑战与变革 | 产业安全观智库访谈

蓝河小天使 腾讯安全 2022-07-02
2020年电商行业的发展与往年相比有了显著的变化:一方面,各大电商平台纷纷启动了“百亿补贴”的大杀器,让电商促销的玩法更加直接;另一方面,受疫情影响,大量制造业厂商库存高企,顺势推出了更大力度的优惠和折扣来缓解压力;与此同时,包括直播电商等新玩法的兴起,进一步扩大和完善了电商行业生态,更让这场“狂欢”的规模远超以往。

 

在这个背景下,电商行业的发展迎来了空前的机遇。然而在电商热的背后,包括网络安全防护、黑产对抗、羊毛党的阻击、金融安全、数据安全以及消费者个人隐私安全等问题都变得更加尖锐且重要。电商行业所面临的网络安全威胁越来越大,加强网络安全体系和能力建设迫在眉睫。

 

作为产业互联网发展的基础,“产业安全”的战略价值不断提升;电商行业也逐渐完成了向产业化、体系化生态的升级。因此,电商行业的安全建设,就需要通过“产业安全”+“电商”的协同与融合,将安全奠定为电商行业发展的前置条件和必备属性,充分发挥产业安全的基础性作用,进而打造可持续、共创共赢的安全体系和能力,实现电商行业网络安全建设的全面升级。

 

无论是对于电商行业可持续发展还是消费者个人权益的保护,都具有非常重要的意义。


为此,针对“构建电商行业的产业安全基础”这一命题,本文特邀京东集团安全总监、资深安全架构师沈华林和赛迪顾问软件与信息服务业研究中心总经理高丹两位专家,共同探讨电商行业高速发展进程中,产业安全如何保驾护航。

01

风生水起背后

电商行业安全风险亟待解决

根据数据统计,针对电商平台发起的网络攻击近年来迅速崛起,成为了2019年最大的网络威胁。随着疫情期间网络购物的大量增长,电商平台所面临的外部威胁也达到了空前的强度。钓鱼攻击、DDoS攻击等老牌威胁持续增强,数据安全、业务安全形势日益严峻。与此同时,内部的安全建设不足与安全意识缺失,就像是面对外部威胁时撕开的一道裂缝,内忧外患,电商平台备受网络安全威胁困扰。

Q:2020年的态势来看,电商行业主要面临哪些网络安全问题?

沈华林:首先是网络攻击成体系化。随着电商行业的发展,逐渐形成了当前“无界零售”的概念。在无界零售场景下,按照MITRE ATT&CK攻击模型,整个网络攻击分为了边界入侵、代码执行、持久化、提权、检测逃逸、认证获取、内部扫描、横向扩散、数据获取、远控、数据外发和影响损失共计12大方面。而且老安全体系中的边界入侵的形式也变得更加多样化。以京东为例,除了集团本部以外,还有很多的子集团和供应商,如果整体生态链路中存在安全短板,那么攻击者就可以利用这些短板发起跳板攻击,跳过边界入侵到电商企业内部。
其次在业务风控领域,黑灰产的攻击也成体系化了。主要包括信息获取、身份获取、授权获取、买家获利、卖家获利和合规风险这六大方面。围绕这六个方面已经形成了较为庞大的黑灰产团体,开展有组织的犯罪活动,对电商行业网络安全带来严重威胁。
疫情期间的最大特点就是人无法外出,消费者如此,攻击者同样如此。这样一来,无论是人数、时间还是攻击频次,都会较以往有着显著的增加。 
随着人数的增长,黑灰产团伙进一步扩大,分工也变得更加细致清晰,覆盖范围也更广。京东内部通过“5级攻防论”,把攻击团伙分为从低到高5个等级。就当前的网络安全国际形势来看,3级和4级的黑客团伙和高级黑客团伙这两个群体对电商行业的威胁最大。 
而从技术水平来看,专业化的团伙会具备非常齐全工具以及成熟的作战体系,对于电商行业当前所部署的一些网络安全防护机制,他们也通过一系列的技术手段可以更加深入地与我们展开人机对抗。

Q:引发网络安全问题的原因有哪些?

高丹:当前电商业务主要通过云平台来开展,而云安全并不是传统网络安全所覆盖的范围,因此云平台的安全是电商行业所需要重点关注的一个方面。在业务安全环节尤其需要关注业务反欺诈。今年的疫情促成了网上购物交易量的大额提升,在重新推动电商行业发展的同时,也带来了数据大规模的增长,数据安全也需要重点关注。


除此以外,监管层面能否完善法律法规建设,满足电商行业对于网络安全环境的需求,也是值得我们关注的部分。虽然近年来围绕网络安全的法律法规一直在不断完善,但我认为速度还需要加快一些。


虽然互联网产业规模庞大,但网络安全所占的比重相对很小。无论是在疫情期间还是此次“新基建”的体系里,网络安全都没有得到单独的立项。由此可见,网络安全在行业发展中的预设值还是处于一个较低的位置,所受到的关注度也远远不够。电商行业乃至整个互联网行业网络安全问题最大的内部因素,是对安全的认知和投入不足;而内部因素与各类外部攻击结合,共同形成了电商行业所主要面临的网络安全隐患。


Q:电商行业亟需补齐哪些安全短板?

沈华林:我认为对于电商行业和企业来说,体系化的安全建设是最重要的。因为站在攻击者的角度,都是成体系化的,所以站在保护者的角度,安全建设也需要成体系化。


首先站在业务角度来说,按照Gartner标准的PPDR的体系建设,可以分为预测、保护、检测和响应四大机制。


首先站在风险预测角度来看,核心是建立蓝军体系,也就是体系化挖掘漏洞的能力,先将部分低危或高危的漏洞体现出来。对于黑产所使用的工具、基础设施和传播渠道等各个方面,体系化地进行持续监控,从而更早地进行检测防护。


其次,站在保护的角度来说,我们需要改变过去被动防御的形式,通过体系化的方式来进行主动防护。形成主动安全的机制,确保在各个环节达到更深层次的防御和卡点。


另外,从风险检测和响应的角度,电商需要基于风险定价的机制,确保信用好的用户能够获得更多的平台和业务上的优惠措施。而信用好的用户,需要有一个可信用户的评判机制,可以围绕设备、环境、行为、情报等多个维度建立可信用户的信用评估机制。


而无论是检测防护还是主动防御,都要求了我们需要具有更加智能化的检测和响应能力,在业务、应用、网络和主机等各个层面建立起智能化、一体化的监控机制,这是我认为当前电商行业和企业所亟需补足的安全能力。
02

电商行业如何夯实安全这一基础设施?

作为产业互联网重要的组成部分,电商行业的逻辑边界日益模糊,传统的网络安全防护体系显然无法适应各类新型和高级威胁。因此,产业安全是电商行业发展的关键要素,对其发展具有重要意义。

Q:产业安全对于电商行业发展有什么意义?

高丹:首先,我认为电商行业是一个数据敏感度非常高,数据量非常大,对于数据的技术应用非常广泛的行业。那么从安全的角度来说,完善和规范电商平台本身,使电商平台达到一个较高的安全度,提升消费者的信任程度,将会对电商平台的发展具有重要的意义。


从行业角度来说,政策的驱动对于行业的发展具有重要的作用。如果电商行业可以在网络安全建设上走在前面,起到表率作用,那么将会在监管层面迎来一系列的利好和关注,这对于电商行业的发展也极具价值。


如果放眼整个产业互联网来看,我认为产业安全的意义会更加深远。因为产业安全是产业互联网的基础已经成为了一个业界共识,那么同样的,产业安全对于电商行业来说所发挥的也是基础性作用。而如果我们可以在产业互联网发展过程中尽可能融入产业安全的能力,那么对于产业互联网本身,也会使发展程度和速度得到更大的提升。

 

在这个过程中,我认为电商行业和产业安全的融合非常重要。据我了解,包括京东、天猫、苏宁等几个大的电商体系,都在建立自己的安全团队,这个过程就需要借助安全产业和企业的能力,形成电商行业和产业安全之间的融合。


Q:产业安全是否应该成为电商行业的基础设施和必要前提?

沈华林:从京东提出的“无界零售”的发展趋势来看,电商行业将来的发展必是需要产业化的。“无界零售”的意义就在于“场景无限,货物无边,人企无间”,也就是数字产业化。以京东为例,“无界零售”就包含了零售全渠道、数字科技化和物流平台化等多个产业化布局。而产业自身的安全就是“无界零售”的基础和前提。

 

另外,在我们看来,未来的电商行业一定会是AIoT化的,也就是AI+IoT化的。这个场景下最大的特点就是终端无所不在,小到智能设备,大到智慧城市,进而延伸到整个行业生态,一定会是一个非常广泛的标准,连接了所有的智能设备。

 

那么面对电商行业未来的场景,我们需要在每一个环节里建立安全的基础能力,让产业安全扮演最基础的角色,从漏洞挖掘、检测防护、应急处置等各个层面,在电商行业的布局和落地环节发挥基础性的作用。

 

Q:如何将产业安全打造成为电商行业的基础设施?沈华林:这个问题可以从两个角度来思考,一个是建设者,一个是使用者。
站在建设者的角度来看,厂商希望将基础设施安全、数据安全和业务安全这几个方面形成标准化的体系和能力,能够支持整个“无界零售”的产业发展,也能够支持AIoT化的趋势,安全能力能够完美的契合到这几个方面中,进而不断地深化和升级。

以融合为核心,将产品和服务的基础组合转变成一种常态化的东西,进一步成为电商行业原生安全的一部分,参与到电商发展的基础设计环节,才可以更好地体现基础设施的重要地位,发挥产业安全的基础性作用。

 

那么站在使用者的角度来说,围绕基础设施安全、数据安全和业务安全,厂商希望产业安全能够帮助电商行业最大程度地消除风险,把厂商所面临的安全风险尽可能地降低下来。不仅仅站在体系建设的角度,更多的从治理和运营服务的角度,能够体系化的消除掉风险。


Q:“产业安全”+“电商”的生态融合有什么意义?

沈华林:毫无疑问的是,打造产业安全的生态对于电商行业的发展具有非常积极的意义。据我所知,腾讯近年来一直在布局产业安全的生态,而实际上,电商行业也在逐渐呈现出产业化、生态化的一种趋势。因此产业安全生态与电商行业生态的结合就属于天然的结果。


以京东的无界零售为例,我们提出了“磐石计划”,针对京东平台自身以及供应商、服务商,围绕基础设施安全、数据安全和业务安全提出一整套全方位的保护。这实际上就对安全提出了体系化和产业化的要求,也就需要产业安全通过体系化或生态化的形式,来对电商行业进行赋能。


与此同时,厂商也在呼吁构建产业安全联盟。站在攻击者的角度来看,对电商行业的攻击很少是特例化的,更多的是对整个行业的攻击。所以整个电商行业甚至所有相关的产业构建相关的产业安全联盟,对于整个行业而言是有着巨大的现实意义的。我们也在尝试和行业的领军企业共同构建电商安全联盟,从情报共享、检测保护响应在行业内形成行业链条等角度共同促进整个行业生态安全的发展。当然我们也需要借助产业安全生态的力量,来帮助电商行业从产业整体上,进行针对性、前瞻性的布局,从而帮助我们更好地适应国内外监管和法律的要求。


高丹:在我看来安全生态分为两种:一种是整体的解决方案,包括了IT属性里从上到下,从软件到硬件到安全的概念;另一种是像腾讯安全等头部的安全企业,围绕产业安全本身所建立起的大的安全生态。对于电商行业来说,这两种生态都具有十分重要的意义。

 

首先从整个IT的生态来看,这两者都有一个共同的属性,那就是可以在安全生态里,为客户提供最优的解决方案。因为通过安全生态的方式,可以从人力、技术、成本等各个方面更清晰、明确地应对客户所提出的诉求。而且在生态的赋能过程中,还可以通过过往所完成的项目,给客户提供更准确的咨询指导,帮助客户在满足原有要求的基础上,提供甚至超过客户原有预期的解决方案。

 

安全生态的另一个好处,是避免价格间的恶性竞争。事实上,价格战一直以来都是制约安全行业发展的一大因素,价格间的恶性竞争不仅阻碍了安全企业的发展,还打击了安全能力的价值体现。


而安全生态的打造,恰恰能够避免和解决价格战的问题,有利于从中小型安全企业出发,推动整个产业安全的发展,进而为电商行业提供更优的解决方案,帮助电商行业打造更强的网络安全体系和能力。写在最后:

疫情期间,电商零售所带来的便利,为打赢疫情防控战役贡献了力量。随着后疫情时代的延续以及各大电商购物节的相继来袭,无论是政策驱动还是市场强烈的需求,都势必会进一步扩大电商行业的规模,也会暴露更多的网络安全短板,面临更大的安全威胁。


产业互联网的发展离不开产业安全的保护,作为产业互联网的重要组成部分,电商行业同样需要产业安全的守护。通过“产业安全”+“电商”的协同融合,进一步加快产业生态的建立,从产业、生态乃至战略的高度出发,将产业安全打造成为电商行业的基础设施,参与到电商行业未来的整体布局和建设当中,发挥产业安全的基础性作用,这对电商行业以及整个产业互联网的发展都具有极其深远的意义。

 

进入产业互联网时代,安全威胁构成更加复杂,对于零售电商而言,数字化让他们有了更广阔和丰富的渠道,能更便利地触达和吸引更多消费者;但同时,也让安全成为了悬在所有企业头顶的“达摩克利斯之剑”。

 

在这个过程中,腾讯安全已经先后为京东、家乐福、唯品会、蘑菇街、小红书、每日优鲜、贝店等主流电商客户以及蒙牛、东鹏特饮等零售客户提供营销风控、防刷、防伪等网络安全服务,协助他们度过各类流量高峰,抵御各种安全攻击,受到了众多平台客户的认可。

 

与此同时,腾讯安全也通过建立产业安全生态,针对电商行业的安全新需求和新场景,持续赋能,促成“产业安全”+“电商”的协同与融合,打造电商行业安全可持续发展的坚实后盾与基石。


「产业安全观智库访谈」栏目简介:在中国产业互联网发展联盟的指导下,腾讯安全联合安在新媒体共同启动了「产业安全观智库访谈」。围绕产业安全的发展趋势,结合当前实事热点,诚邀业界专家、学者及意见领袖倾情分享。希望借此启发思考、引导讨论、催生行动,为中国产业互联网及产业安全在新形势下的应变和发展寻求思路。
推荐阅读:- END -

腾讯安全正在护航产业安全


机构&综合性国企

市场监督 | 交科所 | 深圳金融 | 信通院 | 招商集团 ……

金融行业

中国银行 | 招商银行 | 华夏银行 | 中国建设银行 | 江苏银行 | 光大银行 | 微众银行 | 交通银行 | 富途 ……

交通行业

海航集团 | 祥鹏航空 | 长龙航空 | 电科航电 | 国铁吉讯 | 广汽集团 | 上汽集团 | 如祺出行 | 滴滴出行 ……


零售行业

贵州茅台 | 蒙牛乳业 | 东鹏饮料 | 家乐福 | 洋河酒厂 | 永辉超市 | 联合利华 | 国美 | 苏宁易购 | 农夫山泉 ……


互联网

同程艺龙 | 虎牙直播 | 唯品会 | 哔哩哔哩 | 快手 | 知乎 | 京东 | 顺丰 | 蘑菇街 | 三七互娱 | 完美世界 ……


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存